Roteador de borda: o que é e eu preciso mesmo de um em um residência?

Adamastor Abrolio Silve · 17 de julho de 2024

Olá!

Qual a função de um roteador de borda? Uma residência precisa de um roteador de borda? Quais seriam as vantagens de utilizar um roteador de borda ao invés de um roteador doméstico com wifi? Quais são os seus principais recursos que um roteador residencial não tem?

O TP link ER605 é um roteador de borda? Ele seria mais básico da tplink?

E o que vocês poderiam falar do Edge Router X ER-X? É uma versão antiga? No site da UNIFI no Brasil não achei esse modelo, somente no site em inglês.

E sobre o primeiro roteador de boarda da intelbras o R3005G, ele tem bons recursos? Ele tem um bom firewall ipv6? Os recursos de segurança dele são bons?

Meu objetivo seria para uso residencia para segmentar a rede interna entre as portas lan, melhorar a segurança de maneira geral com alguma possível personalização de regras de firewall e monitorar melhor a rede interna.

Vi que o modelo da intelbras tem uns graficozinhos, seria útil para monitorar a rede? Ou isso seria só estética mesmo?

Além desses modelos que citei, quais outros roteadores de borda existem que seriam básicos e mais em conta para residência?

Linio Alan · 17 de julho de 2024

Creio que o termo mais adequado à esses equipamentos seja o de concentrador VPN/Firewall do que roteador de borda que se esperaria suportar BGP, coisa que esses equipamentos que você citou não suportam com exceção do Edge Router X ER-X (e nem precisaria no seu caso muito provavelmente).

TP link ER605

https://www.tp-link.com/br/business-networking/vpn-router/er605/#specifications

Edge Router X ER-X

https://dl.ubnt.com/datasheets/edgemax/EdgeRouter_X_DS.pdf

Intelbras o R3005G

https://backend.intelbras.com/sites/default/files/2024-04/Datasheet - R3005G.pdf

Para questões de firewall, segmentação, load-balancing de links diferentes e segurança em geral todos eles parecem atender bem às suas espectativas olhando suas specs, agora os mais populares e provavelmente com maior abundância de documentação e de número de usuários seja o TP-LInk e o Intelbras.

Fique atento porém à questão de densidade de portas pois são poucas. À depender do número de usuários você provavelmente precisará adquirir switch com mais portas e capacidade de trabalhar com tagg de VLAN para estender a segmentação por VLAN à todos independente da porta que estiverem conectados

arfneto · 17 de julho de 2024

15 horas atrás, Adamastor Abrolio Silve disse:

Qual a função de um roteador de borda? Uma residência precisa de um roteador de borda? Quais seriam as vantagens de utilizar um roteador de borda ao invés de um roteador doméstico com wifi? Quais são os seus principais recursos que um roteador residencial não tem?

Não precisa disso em uma rede doméstica. E wifi nada tem a ver com o roteador. O que acontece é que os provedores passaram a oferecer esses aparelhos, que tem 6, 7, 8 funções, para ter uma fidelização maior do cliente e tentar oferecer uma caixinha tudo-em-um.

Em outros tempos os provedores ofereciam apenas o modem, como fazem esses provedores que instalam apenas um conversor ótico, a tal ONU, Optical Network Unit. Os roteadores domésticos tem mais funções que os roteadores de borda.

Um roteador de borda é um roteador que fica na entrada da LAN. E implementa certos protocolos de roteamento. Hoje em dia outro tipo de aparelho passou a usar esse nome, e aparecem como firewall, load balancer, gateway VPN, ou tudo junto.

Uma opção barata para ter isso é usar um PC, que pode ser antigo, com várias placas de rede e rodando RouterOS, o sistema open source --- linux grátis --- que roda nos aparelhos Mikrotik. Ou qualquer Linux mesmo.

firewall não é um border router, border router não é um firewall. firewall é um filtro. Não tem rotas.

Servidor VPN é um gateway e pode usar OpenVpn que é também algo que pode rodar em Linux e também grátis.

Balanceamento de carga é só um algoritmo e pode ser bem simples. Em geral é mesmo. Apenas oferece diferentes gateways para as máquinas que vão entrando na rede, seguindo alguma regra. E por efeito colateral se o gateway cai entra um outro no lugar, dando uma redundância para a LAN que pode assim usar vários provedores na mesma rede.

15 horas atrás, Adamastor Abrolio Silve disse:

Meu objetivo seria para uso residencia para segmentar a rede interna entre as portas lan, melhorar a segurança de maneira geral com alguma possível personalização de regras de firewall e monitorar melhor a rede interna.

Em geral não se quer segmentar uma rede doméstica. Mas VLAN é uma opção simples. VLAN é LAN então como as redes domésticas não são assim voláteis pode usar segmentação via LAN mesmo, usando switches comuns.

Por outro lado, um switch nível 3 é algo que pode ser usado como border router e fazer essas coisas. Mesmo um switch nível 2 de 180 reais como o TP-Link TL-SG105E de 5 portas pode fazer isso em sua rede, por outro lado, segmentando a rede e implementando VLAN. E pode usar vários desses e tornar sua vida mais difícil ou mesmo resolver algum problema.

16 horas atrás, Adamastor Abrolio Silve disse:

Meu objetivo seria para uso residencia para segmentar a rede interna entre as portas lan, melhorar a segurança de maneira geral com alguma possível personalização de regras de firewall e monitorar melhor a rede interna.

Se pretende de fato fazer algo assim pode usar os logs do RouterOS por exemplo. Mas numa rede doméstica é difícil imaginar monitorar o tráfego do NetFlix, Max, YouTube, spotify, monitorar o uso de DHCP, não sei. Monitorar tentativas de acesso, estatísticas de tráfego. Pode ser exagero. Pode usar WireShark e monitorar portas de tempos em tempos. É grátis. E esses switches nível 2 ou 3 e mesmo alguns desses border routers podem oferecer espelhamento de portas para facilitar o diagnóstico.

Um serviço de proxy tipo squid é grátis e pode melhorar muito a performance do acesso a internet, porque é um serviço de cache, mas numa rede doméstica é difícil de justificar.

Adamastor Abrolio Silve · 18 de julho de 2024

Citação

<<Creio que o termo mais adequado à esses equipamentos seja o de concentrador VPN/Firewall do que roteador de borda que se esperaria suportar BGP, coisa que esses equipamentos que você citou não suportam com exceção do Edge Router X ER-X (e nem precisaria no seu caso muito provavelmente).>>

Olá!@Linio Alan

Resposta: Gostaria primeiro de lhe agradecer por dedicar o seu tempo e conhecimento ao meu tópico! Obrigado mesmo!

Não vou usar BGP, Load Balance e por enquanto nem VPN configurado direto no roteador. Atualmente não uso ipv6, porém penso testar no futuro o ipv6 e ver como o firewall funciona com IPV6 e se impede de um dispositivo mais simples ter suas portas expostas a internet. Daí pensei que um dispositivo mais novo (o roteador de borda) e sem wifi, poderia dedicar mais do seus recursos (poder de processamento) a essas funções e outras de segurança.

Citação

<<Para questões de firewall, segmentação, load-balancing de links diferentes e segurança em geral todos eles parecem atender bem às suas espectativas olhando suas specs, agora os mais populares e provavelmente com maior abundância de documentação e de número de usuários seja o TP-LInk e o Intelbras>>

Resposta: Entendi. Uma outra dúvida seria se o o Edge Router X é um roteador recente e atualizado. A ubiquite constuma dar suporte por longo prazo ao seus equipamentos com atualizações de firmware a possível bugs e vulnerabilidades descobertas com o tempo?

Sobre o roteador básico de borda da tp link, em uma busca rápida que fiz, li um comentário em algum lugar que o seu firewall para IPv6 não é bom. Não sei se procede...e que dispositivos não tenham firewall por padrão ficariam expostos a internet.

Ainda sobre a tp link, comprei um roteador wifi 6 recentemente (básico para intermediário). Em relação ao alcance do sinal em 2.4 e 5ghz e estabilidade achei nota 10, porém o firmware achei bem fraco nos ajustes/configurações e recursos.

Tenho um roteador velhinho com uns 5 anos já (de lançamento), básico, de 5ghz, porém de outro fabricante e que, para o meu uso, tem recursos ou ajustes que achei melhor ou que são mais interessante e úteis. Inclusive permite essa segmentação da porta lan. Ao habilitar essa segmentação ninguem se enxerga na porta lan, como se fosse uma vlan fixa. Além disso, ele também separa bem quem está no wifi de quem está no cabo. Já nos tp-link, todos que tive até hoje, tentei de todas as formas e sempre há comunicação de quem está no wifi com equipamentos da porta lan. Nos TP LINK analisando pelo Wireshark, o protocolo ARP sempre entrega o mac dos dispositivos conectados ao roteador.

E sobre o primeiro roteador de borda da Intelbras (eles o chamam assim no Vídeo anúncio que vi no canal deles no youtube), eu corri o olho no manual dele! Função por função... não se o manual que é melhor que o toplink, mas o Firewall me pareceu diferente. Como eu não sei como deveria ser melhor esse firewall para IPV6 eu fico perdido.

Como é lançamento mais recente, penso que deve ter um suporte por um bom tempo. Enquanto o da TPlink e Ubiquiti Edge Router X eu não sei se esses modelos são antigos ou mais recentes e se ainda tem suporte ou não.

Citação

<<Fique atento porém à questão de densidade de portas pois são poucas. À depender do número de usuários você provavelmente precisará adquirir switch com mais portas e capacidade de trabalhar com tagg de VLAN para estender a segmentação por VLAN à todos independente da porta que estiverem conectados>>

Ok. Quanto as portas, se o roteador de borda tiver três ou quatro portas já me atende aqui, acredito.

Olá! @arfneto

Citação

<<Não precisa disso em uma rede doméstica.>>

Resposta: certo. Como nunca tive um, fico pensando se não teria algum recurso ou função que não seria útil para o meu tipo de uso ou proposito como mencionei a necessidade de segmentar as portas lan. E como eu comentei, tenho um roteador mais velho e que tem a segmentação entre as portas lan e que não é Vlan e nem Vlan fixa.

Citação

<<E wifi nada tem a ver com o roteador. O que acontece é que os provedores passaram a oferecer esses aparelhos, que tem 6, 7, 8 funções, para ter uma fidelização maior do cliente e tentar oferecer uma caixinha tudo-em-um.>>

Resposta: entendi.

Citação

<<Em outros tempos os provedores ofereciam apenas o modem, como fazem esses provedores que instalam apenas um conversor ótico, a tal ONU, Optical Network Unit. Os roteadores domésticos tem mais funções que os roteadores de borda.>>

Resposta: Vi alguns videos do roteador da tplink, do edge router x e agora um Vídeo básico de apresentação desse novo roteador de borda da intelbras e me parecem com mais recursos ou funções. Não se se seria útil pra mim, como eu disse nesse tópico, mas o mais importante seria ter um firewall para ipv6, para no futuro, quando eu fazer o meus testes de portas no IPv6 nos meus dispositivos internos e ver se eles ficam visiveis a internet e se eu conseguiria fazer uma segmentação das portas lan, além de algum tipo de monitoramento ou estatisticas da minha rede local mesmo.

Lembro-me do firmware Gargoyle quando testei a uns 7 anos +- eu acho, achei fanstástico os gráficozinhos e o que eles me mostravam! Mostrava até o que era buscado em sites sem o https. Hoje como todo site tem https, acredito que isso não funciona funciona mais. Mas achei legal essa função, tipo hacker mesmo...

Por isso perguntei aqui no fórum, porque meu receio é eu só saber se é útil pra mim se eu comprar...perguntando no foruns na internet, ninguém até hj conseguiu me indicar um roteador que segmente as portas lan, e eu tenho um! Só sei porque eu o tenho, entendeu? Sei que foi sorte de comprar logo esse modelo de um fabricante que tem esse recurso. Mas até hoje eu pergunto e ninguem me indica um modelo novo, atualizado que tenha...

Citação

<Um roteador de borda é um roteador que fica na entrada da LAN. E implementa certos protocolos de roteamento. Hoje em dia outro tipo de aparelho passou a usar esse nome, e aparecem como firewall, load balancer, gateway VPN, ou tudo junto>

Entendi. Mas a Intelbras está divulgando como "primeiro roteador de borda da Intelbras". Mas eu entendi!

Citação

<<Uma opção barata para ter isso é usar um PC, que pode ser antigo, com várias placas de rede e rodando RouterOS, o sistema open source --- linux grátis --- que roda nos aparelhos Mikrotik. Ou qualquer Linux mesmo>>

Teve uma época que pensei em testar um servidor com firewall ou esse router OS, mas desisti do projeto. Deixar um pc ligado só pra isso aqui seria complicado pra mim. Para eu testar e ver como funciona etc, a nível de conhecimento seria top! Um dia ainda vou fazer isso, apenas pelo aprendizado, mas por agora eu não consigo por falta de tempo.

Citação

<<firewall não é um border router, border router não é um firewall. firewall é um filtro. Não tem rota>>.

O youtube com seus algoritimos, a pouco tempo de sugeriu um Vídeo de um cara explicado algo parecido assim.

Citação

<<Servidor VPN é um gateway e pode usar OpenVpn que é também algo que pode rodar em Linux e também grátis>>

Esse é um recurso que não vou usar tão cedo. Não compraria por isso...

Citação

<<Balanceamento de carga é só um algoritmo e pode ser bem simples. Em geral é mesmo. Apenas oferece diferentes gateways para as máquinas que vão entrando na rede, seguindo alguma regra. E por efeito colateral se o gateway cai entra um outro no lugar, dando uma redundância para a LAN que pode assim usar vários provedores na mesma rede>>

Resposta: Entendi. É outro recurso que não vou usar.

Citação

<<Em geral não se quer segmentar uma rede doméstica. Mas VLAN é uma opção simples. VLAN é LAN então como as redes domésticas não são assim voláteis pode usar segmentação via LAN mesmo, usando switches comuns.>>

Resposta: Entendi. Taí um recurso que até hj não consegui configurar ou testar. Só testei vlan fixa do switch básico da intelbras e o me parece ser algo tipo vlan fixa no switch SG 105E da tplink que tenho aqui. Tem algo lá dentro nas configurações que mexi e que não permitem as portas se comunicarem, pelo menos nos testes que fiz de ping e portscan não retornaram resultados.

Não configurei manualmente vlan switch SG 105E até hoje...

Citação

<<Por outro lado, um switch nível 3 é algo que pode ser usado como border router e fazer essas coisas. Mesmo um switch nível 2 de 180 reais como o TP-Link TL-SG105E de 5 portas pode fazer isso em sua rede, por outro lado, segmentando a rede e implementando VLAN. E pode usar vários desses e tornar sua vida mais difícil ou mesmo resolver algum problema.>>

Tenho que tentar fazer essa configuração de Vlan no switch no TP-Link TL-SG105E ainda. Por Aqui tenho preferido utilizar outros roteadores para separar a rede. Eu tenho um roteador separado e descontecado da internet somente para o sistema de monitoramento de cameras. Ligo a internet somente em situações quando preciso muito de acesso externo. Mas ainda assim outros dispostivos internos não enxergam o dvr porque estão em outros roteadores, pelo menos nos meus testes...

Citação

<<Se pretende de fato fazer algo assim pode usar os logs do RouterOS por exemplo. Mas numa rede doméstica é difícil imaginar monitorar o tráfego do NetFlix, Max, YouTube, spotify, monitorar o uso de DHCP, não sei. Monitorar tentativas de acesso, estatísticas de tráfego. Pode ser exagero>>

Resposta: Não sei examente o que e quando monitorar certinho. Esse talvez seja o meu problema e o que é possível monitorar.

Citação

<<Pode usar WireShark e monitorar portas de tempos em tempos. É grátis. E esses switches nível 2 ou 3 e mesmo alguns desses border routers podem oferecer espelhamento de portas para facilitar o diagnóstic>>

O Wireshark eu uso muito para tentar dectar algo anormal e estudar um pouco sobre protocolos e trafego, mas apenas nos computadores. Mas sou bem leigo no assunto...Porém uma forma que já usei e que me dá muito trabalho de configurar é deixar um pc ligado e passar toda conexão de casa passar por ele e e depois jogar no roteador e monitorar pelo Wireshark. Pegar tráfego de outros roteadores velhos e ver quais ligações eles fazem, mesmo sem ninguem usando a rede, ver quais conexões a TV faz ( ela se comunica com internet mesmo quando está desligada!) o que o aparilho de tv do sobrinho faz etc. Eu já descobrir algumas coisas interessante com wireshark, mas é muito dados e difícil de interpretá-los. Acredito que dá para descobrir mais, por isso talvez um roteador de borda possa me ajudar também.

Com espelhamento de porta eu não vou precisar passar a conexão pelo pc?

Eu fazia assim: modem/onu/roteador operadora --> ligava num pc numa placa de rede --> outra placa de rede desse pc eu mandava para o roteador. E assim e pegava tudo com Wireshark. Mas aqui pra mim da um trabalho danado ficar fazendo e desfazendo essa configuração. Com espelhamento de porta eu consigo mandar todo o tráfego do roteador de borda ou switch que tenha essa função para um computador e sniffar o trafego com Wireshark?

<<Um serviço de proxy tipo squid é grátis e pode melhorar muito a performance do acesso a internet, porque é um serviço de cache, mas numa rede doméstica é difícil de justificar>>

Aqui no meu caso eu acho que não. Mas eu não perderia tempo tentando melhor o desepenho da rede não. Acho que não geramos tanto trafego assim. Acho né...rsrsrsr

Para concluir, é muito chato ter muitos roteadores ligado mesmo, daí pensei em ter um roteador de borda e mais alguns roteadores depois dele ou switch caso eu conseguisse configurar as Vlan. Sempre achei chato configurar Vlan. Sempre desisti antes de tentar. Mas antes de definir se vou comprar ou não um roteador de borda, vou tentar configurar Vlan no meu no meu TP-Link TL-SG105E.

Além desses, teria outro fabricante que faria algo parecido com que preciso?

Me desculpem se pareceu confuso, pois tenho dificuldade muito grande de escrever o que penso.

Obrigado pela ajuda!

arfneto · 18 de julho de 2024

47 minutos atrás, Adamastor Abrolio Silve disse:

Inclusive permite essa segmentação da porta lan. Ao habilitar essa segmentação ninguem se enxerga na porta lan, como se fosse uma vlan fixa. Além disso, ele também separa bem quem está no wifi de quem está no cabo. Já nos tp-link, todos que tive até hoje, tentei de todas as formas e sempre há comunicação de quem está no wifi com equipamentos da porta lan. Nos TP LINK analisando pelo Wireshark, o protocolo ARP sempre entrega o mac dos dispositivos conectados ao roteador.

Não sei ao certo como seria essa segmentação de que fala e nesse roteador aí, já que nem disse qual é.

Sei que muita gente procura isso, e sei que muitos AP antigos até divulgavam um recurso chamado AP isolation ou algo parecido.

Mas sempre achei isso um contra senso, e vai até contra a própria ideia de usar uma LAN. Isso existe para uma padaria que quer oferecer acesso a internet para os clientes e quer evitar a possibilidade de alguém se ligar na rede e ficar espionando ou tentando acessar coisas.

E praticamente supõe como fato a existência da LAN ser apenas prover acesso a internet. Só que não é assim. LAN precede em muito a internet. E tem a ver com compartilhamento de recursos. E hoje mais do que nunca. E a internet é só um detalhe.

Entenda: em uma LAN, mesmo doméstica, você quer compartilhar coisas. Nada a ver com a internet. Você quer compartilhar a impressora sem fio, quer acessar as pastas do outro micro, quer passar as fotos do celular na tv.

Ao usar o Youtube no celular você quer poder apertar o botãozinho lá na tela e ver as suas 3 TV na lista, e a partir daí passar o vídeo para a que achar melhor. A mesma coisa com a música, o Max, o Disney+, o aplicativo da Amazon Prime.

Você quer espelhar a tela do celular.

As suas 3 TV tem Plex, é grátis. Então você pode muito bem querer usar um servidor Plex em um laptop Windows, ou Mac ou Linux, é grátis. E aí passar fotos e música e vídeos seus ou de filmes que tenha no servidor, apenas escolhendo na tela de qualquer uma das TV.

Você quer que seus assistentes digitais, tipo Amazon Fire, Google ChromeCast ou Alexa da Amazon, acessem as TV e quer ligar luzes e tomadas pela casa.

Você quer poder espelhar a tela do celular em qualquer TV.

Essas coisas. Você quer a LAN para isso. Foi criada para isso. O primeiro protocolo no Windows que roda na LAN é chamado "compartilhamento de arquivos e impressoras" e existe desde os anos 90

ou antes.

Espelhamento de portas

Esse é um conceito simples. Seu switch faz isso. Você simplesmente pega uma porta e diz para ele que vai espelhar outra. Assim não interfere em nada e não tem que mexer nos cabos. Esse que falou tem 5 portas. Então você vai no menu e espelha a porta 2 na porta 5 e o switch copia tudo que vai ou vem na porta 2 para a porta 5. Assim você pode ligar a porta 5 no wireshark ou em seu dispositivo de captura e monitorar os dados sem inserir nenhum atraso e sem mexer em cabos.

VLAN

VLAN é muito mais simples que LAN porque não tem cabo. Segmentar a LAN é trivial: basta incluir mais camadas na rede e inserir rotas. Era assim até outro dia, antes de NAT. Só que é físico. Tem que usar cabos e tabelas de rotas. E pode usar subnets em TCP que também é simples. Só que mudar um micro de rede é um porre, ajustar os DHCP é um porre, e tal.

Usando VLAN é só um formulário. E como tem a ideía de untagged VLAN, tipo uma entrada comum, de lá você segmenta o tráfego como preferir, sem sair da mesa.

Adamastor Abrolio Silve · 22 de julho de 2024

Citação

Sei que muita gente procura isso, e sei que muitos AP antigos até divulgavam um recurso chamado AP isolation ou algo parecido.

R:Esse AP isolation na maioria dos meus testes funcionam somente para quem está no Wifi nos roteadores que ja tive e testei.

Citação

Mas sempre achei isso um contra senso, e vai até contra a própria ideia de usar uma LAN. Isso existe para uma padaria que quer oferecer acesso a internet para os clientes e quer evitar a possibilidade de alguém se ligar na rede e ficar espionando ou tentando acessar coisas.

R: Talvez seja no passado. Hoje com tudo se conectado a internet, aumenta a chances de dispositivos serem vulneraveis e sofrerem um ataque e fazerem outros ataque aos dispositivos internos. Não tem os malware lá que se espalham pela rede? Os worms...? Não poderia um dispositivo interno com maior capacidade de processamento fazer um ataque de homem ao meio na rede interna?

Citação

E praticamente supõe como fato a existência da LAN ser apenas prover acesso a internet. Só que não é assim. LAN precede em muito a internet. E tem a ver com compartilhamento de recursos. E hoje mais do que nunca. E a internet é só um detalhe.

R:Muitos hoje só querem acessar a internet. Vai do cenário não? Nem todo mundo quer partilhar uma impressora, comptuadores na rede local, acessar a televisão etc.

Citação

Entenda: em uma LAN, mesmo doméstica, você quer compartilhar coisas. Nada a ver com a internet. Você quer compartilhar a impressora sem fio, quer acessar as pastas do outro micro, quer passar as fotos do celular na tv.

R: eu não quero compartilhar, e conheço outras pessoas que focam na segurança da informação que priorizam a segmentação da rede para aumentar a segurança.

Citação

Ao usar o Youtube no celular você quer poder apertar o botãozinho lá na tela e ver as suas 3 TV na lista, e a partir daí passar o vídeo para a que achar melhor. A mesma coisa com a música, o Max, o Disney+, o aplicativo da Amazon Prime.

R: Eu não quero...rsrsrsr

Citação

Você quer espelhar a tela do celular.

R: eu não quero rsrsrsr

Citação

As suas 3 TV tem Plex, é grátis. Então você pode muito bem querer usar um servidor Plex em um laptop Windows, ou Mac ou Linux, é grátis. E aí passar fotos e música e vídeos seus ou de filmes que tenha no servidor, apenas escolhendo na tela de qualquer uma das TV.

R: não rsrsrsr

Citação

Você quer que seus assistentes digitais, tipo Amazon Fire, Google ChromeCast ou Alexa da Amazon, acessem as TV e quer ligar luzes e tomadas pela casa.

R: não uso esses tipos de espiões rsrsrs Só uso smarthphone mesmo porque não tem jeito. kkk

Citação

Você quer poder espelhar a tela do celular em qualquer TV.

R: não

Citação

Essas coisas. Você quer a LAN para isso. Foi criada para isso. O primeiro protocolo no Windows que roda na LAN é chamado "compartilhamento de arquivos e impressoras" e existe desde os anos 90

ou antes.

R: eu quero pra acessar a internet. Quando eu precisar de algo bem local, como eu disse coloco outro roteador só pra ele. rsrsr

Citação

Espelhamento de portas

Esse é um conceito simples. Seu switch faz isso. Você simplesmente pega uma porta e diz para ele que vai espelhar outra. Assim não interfere em nada e não tem que mexer nos cabos. Esse que falou tem 5 portas. Então você vai no menu e espelha a porta 2 na porta 5 e o switch copia tudo que vai ou vem na porta 2 para a porta 5. Assim você pode ligar a porta 5 no wireshark ou em seu dispositivo de captura e monitorar os dados sem inserir nenhum atraso e sem mexer em cabos.

R: entendi. Vou testar. Nunca testei esse recurso ainda. Talvez seja mais prático para eu monitorar toda rede mesmo...esse parece bem interessante! Que tenho testar sem falta!

Citação

VLAN

VLAN é muito mais simples que LAN porque não tem cabo. Segmentar a LAN é trivial: basta incluir mais camadas na rede e inserir rotas. Era assim até outro dia, antes de NAT. Só que é físico. Tem que usar cabos e tabelas de rotas. E pode usar subnets em TCP que também é simples. Só que mudar um micro de rede é um porre, ajustar os DHCP é um porre, e tal.

R: entendi. Depois vou criar um tópico só pra isso caso eu não consiga aqui essa semana. Mas de exemplo para ver se eu entendi o conceito certo de Vlan:

O roteador precisa ter suporte a Vlan ou somente o switch já Seria suficiente? Ficaria assim a topologia: roteador (com ou sem suporte) > switch (com suporte a vlan).

Num teste rápido que fiz aqui com esse switch da tplink a alguns anos, eu acho que mexi numa parte la dentro que chama que chama MTU Vlan. Depois disso os dispositivos ligado por cabo no switch não se enxergam. Porém quem está no Wifi no roteador enxerga quem está ligado no cabo via switch.

Aí a topologia teria que ser assim: Roteador > switch com Vlan > =roteador 1 em uma porta do switch somente para Wifi e outras portas do switch para os pc?

Seria muito mais prático se um roteador doméstico fizesse isso tudo, por mais que a maioria das pessoas não usassem ou se originalmente a rede fosse pensando para funcionar assim (compartilhar recursos na rede local), tivesse esse recursos de isolamento.

Seria muito prático com apenas uma peça (roteador doméstico com Wifi) e uma botão apertado dentro do roteador para segmentar toda a rede e ninguem se comunicasse a não ser com a Internet.

arfneto · 22 de julho de 2024

37 minutos atrás, Adamastor Abrolio Silve disse:

Seria muito mais prático se um roteador doméstico fizesse isso tudo, por mais que a maioria das pessoas não usassem ou se originalmente a rede fosse pensando para funcionar assim (compartilhar recursos na rede local), tivesse esse recursos de isolamento.

Seria muito prático com apenas uma peça (roteador doméstico com Wifi) e uma botão apertado dentro do roteador para segmentar toda a rede e ninguem se comunicasse a não ser com a Internet.

A rede local é privada e cada um tem sua noção do que fazer com ela.

Mas sua ideia de isolamento vai na contramão de muita coisa, como te expliquei. E a introdução de celulares e automação doméstica e eletrodomésticos smart é um bem óbvio demonstrativo disso. E os DVR e alarmes cada vez mais comuns em casas.

Mas é fato conhecido que a chance de ser atropelado cai muito se a gente não sai de casa. Claro que aí a gente não sai de casa, mas que diminui é verdade. Todos os serviços que citei são comuns em LAN hoje em dia. Pode não usar nenhum, claro.

Mas é cômodo saber a temperatura na sala do apartamento no litoral, poder ligar o ar condicionado antes de chegar, ligar um computador do meu escritório a partir do cais do porto em Nova Orleans, ligar a câmera na casa de um idoso quando recebe um alerta de movimento no meio da noite, abrir a porta do escritório para alguém poder fazer um serviço numa emergência num domingo como ontem. Fechar todas as cortinas e diminuir a luz da sala com um comando só, de voz... Há razões para essas coisas existirem e para as pessoas usarem. E, claro, para não usarem...

42 minutos atrás, Adamastor Abrolio Silve disse:

R: não uso esses tipos de espiões rsrsrs Só uso smarthphone mesmo porque não tem jeito. kkk

Se usa um telefone que carrega consigo o dia todo não está assim ganhando muito em segurança mantendo ele com você enquanto se preocupa com o isolamento entre as portas de sua rede doméstica... E em não usar automação em sua casa ou usar esses assistentes para coisas simples como ligar lâmpadas ou tocar música. Deve saber que por exemplo todas as eventuais mensagens de voz que grava são usadas --- de modo anônimo, garantem alguns, desconfiam outros --- para treinar modelos de reconhecimento e sintetização de voz. E todo deslocamento seu é gravado e tal. E na internet em geral... preferências de compra, sites, uso de programas e tal. A exposição pelo uso de um telefone celular é tão grande que a preocupação com isolamento da LAN chega a ser curiosa.

46 minutos atrás, Adamastor Abrolio Silve disse:

O roteador precisa ter suporte a Vlan ou somente o switch já Seria suficiente? Ficaria assim a topologia: roteador (com ou sem suporte) > switch (com suporte a vlan).

Num teste rápido que fiz aqui com esse switch da tplink a alguns anos, eu acho que mexi numa parte la dentro que chama que chama MTU Vlan. Depois disso os dispositivos ligado por cabo no switch não se enxergam. Porém quem está no Wifi no roteador enxerga quem está ligado no cabo via switch

VLAN tem a noção de portas "híbridas", --- trunk em alguma literatura --- e é só isso: tráfego entra ou sai por essas portas e a VLAN segmenta a partir daí. Isso que mudou em sua rede nada tem a ver com segurança. Não entendo porque iria mudar o MTU. Não precisa mexer nisso. E VLAN nada tem a ver com rádio ou cabo. wifi não repassa tags de VLAN mas a LAN em que está o segmento de wifi pode estar dentro de uma VLAN...

Sobre isolamento e as "vantagens" inerentes não vou mais discutir isso nesse tópico.

VLAN oferece segmentação. Isso melhora a segurança e a performance se bem usado, porque segmenta tráfego e broadcasts na rede. Mas VLAN é LAN virtual, simplifica muito a implantação porque não precisa passar e reorientar cabos e tabelas de rotas, o equivalente na LAN não V...

Linio Alan · 22 de julho de 2024

2 horas atrás, Adamastor Abrolio Silve disse:

R: Talvez seja no passado. Hoje com tudo se conectado a internet, aumenta a chances de dispositivos serem vulneraveis e sofrerem um ataque e fazerem outros ataque aos dispositivos internos. Não tem os malware lá que se espalham pela rede? Os worms...? Não poderia um dispositivo interno com maior capacidade de processamento fazer um ataque de homem ao meio na rede interna?

Sim é possível, principalmente em redes corporativas, mas em redes domésticas é também possível mas improvável, falando de ataques sofisticados como "Elevação de Privilégio" e "Reconhecimento", mas esses baseados em malware (Trojan, Ramsonware, RootKit) são mais prováveis de serem interidos na rede via "Phishing" aí é mais caso de se preocupar com um bom Antivírus mesmo, gerenciamento de atualizações de tudo (hardware. software) e técnicas de "hardening" de configurações/permissões/usuários e claro: o bom e velho backup.

2 horas atrás, Adamastor Abrolio Silve disse:

O roteador precisa ter suporte a Vlan ou somente o switch já Seria suficiente? Ficaria assim a topologia: roteador (com ou sem suporte) > switch (com suporte a vlan).

Sim ambos roteador e switch precisam ter suporte à VLAN ou IEEE 802.1Q, e a interface "uplink" entre o roteador e o swithc (e vice-versa) é conhecia como interface trunk, pois ela não será usada para conectar hosts, mas sim a interface tronco que esta 'taggeando' 1 ou várias VLANs.

2 horas atrás, Adamastor Abrolio Silve disse:

Aí a topologia teria que ser assim: Roteador > switch com Vlan > =roteador 1 em uma porta do switch somente para Wifi e outras portas do switch para os pc?

Seria muito mais prático se um roteador doméstico fizesse isso tudo, por mais que a maioria das pessoas não usassem ou se originalmente a rede fosse pensando para funcionar assim (compartilhar recursos na rede local), tivesse esse recursos de isolamento.

Seria muito prático com apenas uma peça (roteador doméstico com Wifi) e uma botão apertado dentro do roteador para segmentar toda a rede e ninguem se comunicasse a não ser com a Internet.

Desse jeito aí que você descreveu pode funcionar mas acredito que o melhor cenário seria:

ONT/Modem Operadora <sem VLAN> switch gerenciável <com VLAN e "porta modo trunk> roteadores conectados <com VLAN mas "modo access"> hosts da rede (não precisam informar tag de VLAN)

Desta forma fica muito mais organizado e o tráfego otimizado e menos sujeito à "NAT restrictions e/ou configurações complexas de rotas e outros problemas como overhead de protocolos.

2 horas atrás, Adamastor Abrolio Silve disse:

Seria muito mais prático se um roteador doméstico fizesse isso tudo, por mais que a maioria das pessoas não usassem ou se originalmente a rede fosse pensando para funcionar assim (compartilhar recursos na rede local), tivesse esse recursos de isolamento.

Seria muito prático com apenas uma peça (roteador doméstico com Wifi) e uma botão apertado dentro do roteador para segmentar toda a rede e ninguem se comunicasse a não ser com a Internet.

Você conseguiria algo semelhante com Mikrotik, seria possível definir gateway padrão diferente para cada interface física (com ou sem DHCP) inseridos dentro de uma outra pseudo-interface bridge, e conseguiria algum tipo de isolamento de tráfego sem necessidade de uma VLAN, mas ainda assim com custo semelhante aos roteadores que você descreveu no início do seu tópico.

Para isolamento total como você quer entre os hosts da sua rede, com os equipamentos de rede que você tem ou deseja comprar, a configuração de VLAN é uma ótima abordagem.

arfneto · 22 de julho de 2024

De todo modo entenda que a VLAN é uma LAN e os aparelhos que estão em cada VLAN estarão na mesma rede IP e vão sim ter comunicação entre eles.

Claro que você pode ter uma VLAN para cada aparelho em sua casa afinal é sua rede e são suas VLAN. Usando esse aparelho que tem, por exemplo, pode testar: configurar 4 VLAN para as portas de 2 a 5 e ligar o cabo que trás o único tráfego que quer habilitar --- o gateway para a internet --- e ligar na porta 5. A VLAN padrão é 1, então para simplificar pode usar o ID da VLAN igual a porta, de 2 a 5 e inserir em cada VLAN apenas a porta 5 e a porta em questão. Isso lá no menu de VLAN do aparelho. Leva minutos.

Assim vai ter esse isolamento via cabo desde que ligue um dispositivo e não um switch (sem VLAN) nessas portas, ou vai começar tudo de novo... Mas pode usar a mesma ideia dentro de cada VLAN.

A questão do wifi não pode resolver assim. wifi desconhece VLAN. Aí precisa de um trem chamado AP Isolation, que é exatamente o que procura via cabo ethernet --- wifi também é ethernet --- mas faz isso para a rede wifi. Muitos roteadores aqui no BR oferecem isso, como o C7 da marca TP-Link...

Isso nunca é habilitado por padrão, mas é só um click. Veja na figura

Adamastor Abrolio Silve · 23 de julho de 2024

@Linio Alan Muito obrigado pelas informações! Por enquanto vou continuar testando o switch da TP-LINK mesmo. Ele está funcionando em um modo curioso chamado de MTU VLAN. Testei agora a pouco e funciona mesmo!

@arfneto Depois de não sei quantos anos sem acessar o painel de controle desse switch TL SG105E, entrei hoje novamente e é isso mesmo: Estou usando o modo MTU Vlan. Na parte de Vlan ele tem três modos:

MTU VLAN ( que está habilitado atualmente)
802.1Q VLAN (desabilitado)
802.1Q PVID SETTING (desabilitado)

Ele está funcionando no modo MTU Vlan. Eu pesquisei sobre MTU (A unidade de transmissão máxima)e não achei nada relacionado com Vlan. Tanto que la dentro não tem nada para eu mudar o tamanho em bytes. Mas esse switch tem essa opção de MTU Vlan. Agora, como e porque eu não sei. Mas ele ta funcionando para isolar as portas....

Assim, lá dentro da OPÇÃO MTU VLAN, a única coisa que eu escolho a porta uplink e mais nada. Escolhi esse porta para chegar internet. As demais portas não se comunicam. Fazendo testes apenas com dois pcs ligados nesses switch ninguem se exerga mesmo. Porém, como eu já disse, quem está no Wifi do roteador que manda internet para esse switch enxerga os pcs que estão ligados nas porta do switch.

https://static-community.tp-link.com/other/13/11/2019/70a884b1488c46caa4fe00c15cfd87a1.JPG

Essa foto eu peguei de um forum para ilustrar. Mas é a mesma que tenho aqui. No meu tá habilitado e na foto acima está desabilitado.

link do fórum da tplink:

Citação

MTU VLAN é uma espécie de "configuração de um clique" onde uma porta de uplink criará várias VLANs. Cada VLAN terá duas portas como membros – a porta de uplink e outra porta –, de modo que todas as portas de "locatário" são conectadas à porta de uplink, enquanto a comunicação entre dispositivos nas portas de "locatário" é proibida. O tráfego sempre será desmarcado nesse cenário.

Talvez o que eu tenha que fazer é ligar os roteadores que vão distruibuir internet por wifi depois do switch (nas portas dele). Assim eu acredito que eles não consiga enxergar quem os pcs ligados nas outras portas desse switch.

arfneto · 23 de julho de 2024

2 horas atrás, Adamastor Abrolio Silve disse:

Talvez o que eu tenha que fazer é ligar os roteadores que vão distruibuir internet por wifi depois do switch (nas portas dele). Assim eu acredito que eles não consiga enxergar quem os pcs ligados nas outras portas desse switch.

Sugiro fazer exatamente como eu disse. É o simples e vai funcionar, usando 802.1Q isolando cada host em uma rede única que só vai ter ele e o gateway, que é o roteador da operadora. Para o wifi faça o que eu disse e use um AP ou roteador qualquer que tenha aquele AP isolation, como o que eu te disse. Ative aquilo e vai todos os hosts isolados na rede ethernet, por rádio ou cabo.

Isso é muito comum em wifi em redes públicas porque, ao contrário de redes profissionais ou domésticas, você não quer que as estações se comuniquem porque, por exemplo, não quer ser responsável por prejuízos que um dispositivo possa causar espionando outros dispositivos na mesma rede wifi.

Você não sabe e nem quer muito saber quem está usando o wifi do seu restaurante, por exemplo, até o cara te processar por achar que foi espionado por alguém enquanto estava conectado à sua rede na hora do almoço Por isso tem aqueles textos compridos com os quais você precisa concordar quando se conecta em um aeroporto, por exemplo.

Esse lance de MTU VLAN é uma coisa folclórica que essa marca TP-Link gerou ao usar uma sigla essencial em TCP/IP, o protocolo que rege isso tudo isso, e usar para outro propósito.

Há décadas MTU é MTU, muita gente nem sabe o que significa a sigla --- Maximum Transmission Unit --- mas sabe exatamente o que é: o limite de tamanho do pacote TCP. E você pode alterar o MTU em muitos aparelhos de muitas marcas --- inclusive essa --- por muitas razões, por exemplo para reservar espaço para tags de VLAN em certos casos.

Só que nesse caso dessa marca e nesse contexto MTU é Multi-Tenant Unit. Uma bobagem, mas assim é o marketing às vezes. E é exatamente o que eu te disse para fazer com 802.1Q (que é o que existe para toda marca de aparelho que for usar): uma VLAN de dois hosts para cada porta. Só que a norma é mais esperta que essa aberração da TP-Link. Usando 802.1Q, o simples, você pode temporariamente agregar uma outra porta a uma cera VLAN para poder acessar por exemplo um certo PC a partir de outro por uns dias... ou 15 minutos. E depois voltar para a configuração normal.

Com MTU VLAN isso é engessado e definitivo. Sugiro esquecer. Estamos falando de switches de 5 portas e não 48.